Vorgehensweise zur Absicherung von IT- oder Produktionsrisiken über Versicherungen

Betriebliche Risiken sind sowohl in der IT als auch in der Produktion dynamisch, unterliegen also der Veränderung. Daher erfordert die angemessene Behandlung dieser Risiken Kompetenz der Unternehmensführung und Transparenz der Risiken über alle Führungsebenen.
Erst wenn Risiken möglichst vollständig identifiziert, bewertet und priorisiert sind, können Entscheidungen zu einer angemessenen Risikobehandlung getroffen werden. Dabei sollen die Maßnahmen zur Risikobehandlung der Bedeutung der einzelnen Risiken entsprechen.

In Frage kommen:

• die Risikovermeidung - z. B. der Verzicht auf eine Produktentwicklung, die mit zu hohen Risiken verbunden ist
• die Risikominderung - z. B. durch Maßnahmen in der Produktentwicklung (Risikoanalyse, zusätzliche Versuche etc.), Produktion (zusätzliche Qualitätsmaßnahmen etc.) oder dem Produkt selber (bessere Kennzeichnung etc.)
• die Risikoverteilung - z. B. durch vertragliche Regelungen mit Auftraggebern oder die Auslagerung von einzelnen Prozessen auf Dritte
• die Risikoübertragung - z. B. durch Versicherung
• oder auch die Akzeptanz des Risikos (Selbsttragung)

Der Versicherungsschutz spielt natürlich - insbesondere bei unternehmensbedrohenden Risiken - eine wichtige Rolle, aber nicht die einzige. Nicht jedes Risiko kann vollständig auf einen Versicherer übertragen werden. Versicherungen lindern die finanziellen Auswirkungen, die Verantwortung der Unternehmensleitung bleibt aber bestehen.

Aber auch die Auswahl der richtigen Versicherung erfordert Fachwissen, die Auswahl eines erfahrenen Beraters wird daher empfohlen. Bei IT-Risiken sollte man auf eine entsprechende Kompetenz dieses Beraters achten, da die hier möglichen Schadenszenarien wie auch die Versicherungsmöglichkeiten komplex sein können. AXA bietet gerade hier Hilfestellung insbesondere durch einen IT-Risiko-Check.

Die AXA hat da ein ganz tolles und leistungsfähiges Tool. Das nennt sich Risiko-Analyse-Tool. Inklusive eines Risiko-Checks für IT.
Dieses Tool haben wir de facto in unsere tägliche Arbeitsweise integriert. Das bedeutet, dass wir erstens mit der AXA zusammen unsere Risiken systematisch identifiziert und bewertet haben. Auf dieser Basis sind wir im Detail hingegangen und haben mit Hilfe des Tools geschaut, wo wir selbst sozusagen Hand anlegen können, um Risiken zu vermeiden oder zu reduzieren.

Was dann als restliche Risiken verbleibt, die wir selbst nicht abdecken können, wird als Grundlage eines Projekts genommen, um zusammen mit der AXA, diese abzusichern.

Zweitens haben wir dieses Tool in unsere Projektarbeit integriert und schauen jedes halbe Jahr, ob wir bzgl. der Risiken noch up to date sind. Schließlich entwickelt sich unser Geschäft auch und die Inhalte unserer Kundenbeziehungen ändern sich im Zeitablauf. Wir fragen uns ganz konkret, ob wir neue Geschäftsfelder und damit neue Risiken dazu bekommen haben. Das ist für uns intern sehr wichtig.

Wir versuchen, die Risiken systematisch zu minimieren, z.B. mit Umstellung von Kundenverträgen oder mit Hilfe von Anleitungen für Kunden, oder unter Zuhilfenahme von externen Leistungen wie z.B. zur Stromversorgung; mit ganz praktischen Maßnahmen also. Im Ergebnis kontrollieren wir alle 6 Monate die Risikolage; das ist quasi unser integriertes Risikomanagementsystem. Mit unserem Partner von der AXA wird das dann bzgl. der Police und der Absicherung abgeklärt: Soll ein neues Risiko mit rein oder ist es gelungen, Risiken zu minimieren?

Damit können wir also alle 6 Monate den Risikoschutz anpassen. Auch wenn das nicht immer notwendig ist, gibt uns das doch Sicherheit und Handlungsunterstützung für wirtschaftliche Entscheidungen. Das ist eine effiziente und wirksame Form von Risikomanagement für uns als mittelständisches Unternehmen.

Anhand unseres Leistungs- und Kundenspektrums können Sie erkennen, dass Risiken und Schadensgrößen ganz erheblich variieren können. Denken Sie nur an längere Produktionsausfälle, wenn Bänder stillstehen oder Transportwege lahm liegen. Denken Sie an nicht stattfindende Finanztransaktionen, bei Banken oder anderen Instituten. Meistens ergeben sich aus den Verträgen mit unseren Kunden und deren Absicherungsbedürfnis die maximal abzudeckenden Schadenssummen je Projekt bzw. Kunde. Der Kunde gibt das also oft explizit vor und wir stellen dann die Absicherung unsererseits sicher. Das können auch mal Größenordnungen von mehreren Mio. Euro sein.

Schließlich müssen unsere Kunden auch selbst Compliance-Anforderungen erfüllen, zu denen eine Absicherung der Betriebsabläufe und der Funktionsfähigkeit der IT-Technik gehören.

Ganz praktisch schauen wir, welches je Kunde die höchste Absicherungssumme ist, die sich aus den Verträgen ergibt. Diese müssen wir dann mit unseren AXA-Policen abdecken können.

Das Risiko-Analysetool der AXA ist ein sinnvolles, aber für unsere Zwecke haben wir es bisher auf Grund der dargestellten Kundenvorgaben, nicht angewandt. Unsere Police wird flexibel gehalten, und in regelmäßigem Dialog stellen wir zusammen fest, ob sich aus einem Kundenprojekt ein Anpassungsbedarf ergibt. Das erfordert natürlich auch eine Offenheit seitens der Libelle AG, die Risiken rechtzeitig anzugeben und transparent darzustellen. Da gehen wir also pro-aktiv auf unseren Agenturpartner zu.